国家互联网应急中心云晓春:知识库是网络安全决胜的关键

  1996年2月10日,IBM的超级计算机深蓝首次挑战国际象棋世界冠军卡斯帕罗夫,但以2∶4落败。比赛在2月17日结束。其后研究小组把深蓝加以改良,1997年5月再度挑战卡斯帕罗夫,比赛在5月11日结束,最终深蓝电脑以3.5∶2.5击败卡斯帕罗夫,成为首个在标准比赛时限内击败国际象棋世界冠军的电脑系统。IBM在比赛后宣布深蓝退役。

  为什么深蓝会赢?深蓝没有情绪,具备计算高速的能力,同时存储无限,能存储百万棋局。

  从上述例子可以看到,深蓝有非常强大的知识储备能力。那么对于网络安全而言,什么是知识?分析员基于对数据源的理解、确定分析逻辑、挖掘数据关系、总结规律、进而形成知识。

  知识在网络安全的工作中,有没有用途?答案是肯定的。美国信息安全相关部门自1998年到2012年,发布了与“安全感知”相关的7份重要文件。

  网络空间是非常大的,没有人能够说清楚其中到底有什么。网络空间的核心还是要为人提供服务,不同的人会有不同的需求。因此,对于网络安全知识库,我们从两个方面来考虑问题:

  一是绘制网络空间资源地图,以网络软硬件资源为核心,测绘其在虚拟空间分布以及与现实空间的映射;

  二是建立网络空间人物画像库,以人为核心,挖掘网络用户在网络空间的行为规律。

  就网络空间资源地图而言,首先要了解虚拟空间属性,包括设备信息、承载协议、事件信息、节点重要度;其次要了解物理空间映射,包括地理位置、接入信息、使用单位。

  在此过程中会有两个非常重要的技术难点:

  一是数据正确性,同一属性(典型的如地理位置)的多个来源值有可能相互冲突或粒度不一,如何在此基础上融合成一个唯一答案非常困难;

  二是时效和有效性,IP地址多种属性(地理位置、是否活跃、提供服务等)的动态变化使得知识构建不是一劳永逸的。

  下面以“.CN遭受攻击事件”为例,这是2013年8月发生的事件,我们对此进行追查工作,针对6台CN国家域名服务器关联查询流监测数据,确认攻击。在第一次关联中,关联查询通联关系,分析攻击源的共同连接端,找到攻击控制端为103.24.93.73(查询知识库:香港)。在第二次关联中,关联查询域名监测数据,获得控制端IP对应的域名。查询IP为103.24.93.73,对应域名有三个,分别为fz30000.dnscccaa.com、080622222.gm0315.com、qfzq22221.dnscccaa.com。三个域名都曾经被作为多个木马程序的控制域名–进一步印证此IP为攻击控制端。

  近年来,APT成为国际对抗焦点。APT(Advanced Persistent Threat,高级持续性威胁),它是利用先进的攻击手段对特定目标进行长期持续性网络攻击的形式。真正高级的攻击,都不是由一个单线个体来完成的,往往是由一些有组织,有高水平的团队来完成的。它所发起的攻击,隐蔽性非常强,持续时间也很长。在这种情况下,想要找到APT的发起者,是非常困难的,这也是目前国际上非常热点的研究课题。

  通过网络空间人物画像库,可从人物或组织特点、攻击目标、攻击工具和攻击手法来锁定这些黑客的范围。其中也存在一定的技术难点:一是分析链条长,从客户端取证、恶意特征提取、宏观网络监测、实时窃密跟踪、全局危害评估、定点渗透反制到形成分析报告,需要长时间、多部门协助;二是覆盖技术点多,涉及从底层计算机技术到社交网络应用,从语法到语义的各层技术,覆盖漏洞利用、域名变换、IP地址标注、恶意代码分析、攻击特点归纳、黑客习惯抽取、组织背景调查。

  当然,在知识库积累过程中,也会存在一些共性的科学问题,主要表现在以下几个方面:

  一是碎片化知识的重组问题。这些碎片化知识具有动态性、低质化、无序性的特点,如何把它们进行重组,构成完整的知识链,是需要人们去考虑的;

  二是跨模态知识库的智能决策问题;

  三是领域知识的集成实践问题。知识库是网络安全决胜的关键,知识就是力量,正确使用知识事半功倍,同时知识需要日积月累,恒者无敌!

  (本文整理自国家互联网应急中心副主任云晓春在第四届中国科研信息化发展研讨会上的演讲“网络安全知识库的实践与思考”)

发表评论